- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
漏洞综述
漏洞背景
ElasticJob 是面向互联网生态和海量任务的分布式调度解决方案,由两个相互独立的子项目 ElasticJob‐Lite 和ElasticJob‐Cloud 组成。它通过弹性调度、资源管控、以及作业治理的功能,打造一个适用于互联网场景的分布式调度解决方案,并通过开放的架构设计,提供多元化的作业生态。近日,新华三攻防实验室威胁预警团队监测到Apache官方发布了安全公告,修复了Apache ShardingSphere ElasticJob-UI中的信息泄露漏洞(CVE-2021-22733),建议受影响用户尽快安装更新补丁,避免受到影响。
漏洞原理
该漏洞是由于Apache ShardingSphere ElasticJob-UI中存在信息泄露,恶意攻击者通过使用来宾账号(guest/guest)登录系统,从而获取到关于管理员账号的敏感信息,使得恶意攻击者能够以管理员身份登录系统,执行任意代码。
影响范围
Apache ShardingSphere ElasticJob-UI <=3.0.0
漏洞等级:中危
处置方法
官方补丁
目前官方已发布最新版本,请受影响用户尽快更新。官方链接:https://github.com/apache/shardingsphere-elasticjob-ui/releases/tag/3.0.1
临时缓解措施
1、新华三安全设备防护方案
新华三IPS规则库将在1.0.168版本支持对该漏洞的识别,H3C全系安全产品可通过升级IPS特征库识别该漏洞的攻击流量,并进行主动拦截。
2、态势感知产品解决方案
新华三态势感知产品已支持该漏洞的检测,通过信息搜集整合、数据关联分析等综合研判手段,发现网络中遭受该漏洞攻击及失陷的资产。
3、新华三云安全能力中心解决方案
新华三云安全能力中心知识库已更新该漏洞信息,可查询对应漏洞产生原理、升级补丁、修复措施等。
参考链接
https://lists.apache.org/thread/qpdsm936n9bhksb0rzn6bq1h7ord2nm6
产品与解决方案
售前咨询
售后咨询
人工在线咨询
